• am
  • ru
  • en
Версия для печати
13.11.2012

ГОСУДАРСТВЕННЫЕ СТРАТЕГИИ КИБЕРБЕЗОПАСНОСТИ

   

Создание государственной политики, нацеленной на усиление безопасности в киберпространстве

Европейское агентство по сетевой информационной безопасности (ENISA), 2012

Об ENISA

Европейское агентство по сетевой и информационной безопасности (ENISA) – это агентство Евросоюза, созданное с целью повышения эффективности функционирования внутреннего рынка. Агентство выступает в роли консультанта и центра передовых технологии в сфере сетевой и информационной безопасности для стран-членов и институтов Евросоюза. Кроме того, агентство содействует развитию связей между странами-членами Евросоюза, институтами Евросоюза, хозяйствующими субъектами и частным бизнесом.

Контакты

Программа надежности и защиты ключевой информационной инфраструктуры (CIIP) ENISA.

Email:resilience@enisa.europa.eu

1. Введение

Долгое время общественное благосостояние и экономическая стабильность опирались на надежную работу сетей передачи данных и вычислительных сервисов. На функционирование ключевых информационных систем общего пользования оказывают влияние многие факторы: Интернет-атаки, нарушения, вызванные физическим воздействием, выход из строя программного и аппаратного обеспечения, человеческие ошибки. Перечисленные явления наглядно демонстрируют, насколько современное общество зависит от стабильной работы информационных систем. Подобная мысль повторяется и в немецкой стратегии кибербезопасности: “Обеспечение доступности киберпространства, а также целостности, достоверности и конфиденциальности информации в киберпространстве стало одной из важнейших проблем 21ого столетия. Именно поэтому защита киберпространства становится главной задачей государства, экономики и общества, как на государственном, так и на международном уровне”.1

На некоторых собраниях2 Европейской комиссии особо отмечалась важность сетевой и информационной безопасности и необходимость создания единого Европейского Информационного Пространства. В существующих и продвигаемых правках нормативно-правовой базы3, а также на последних собраниях Европейской комиссии, посвященных защите ключевой информационной инфраструктуры4 (CIIP), предлагаются практические меры и регулятивные нормы по усилению безопасности и надежности5 сетей общего пользования.

Кибербезопасность все чаще рассматривается, как стратегическая проблема государственной важности, затрагивающая все слои общества. Государственная политика кибербезопасности (national cyber security strategy - NCSS) ¬служит средством усиления безопасности и надежности информационных систем государства. В стратегии к проблеме кибербезопасности применяется высокоуровневый и нисходящий подход: выдвигается ряд государственных целей и приоритетов, которые необходимо достичь за определённый промежуток времени. Фактически, стратегия представляет собой модель решения задачи кибербезопасности внутри государства.

Для того чтобы поддержать страны-члены Евросоюза в важной миссии по разработке и поддержке государственной политики кибербезопасности, ENISA разрабатывает специальное руководство6 (Good Practice Guide). В руководстве даются рекомендации, а также передовая практика по разработке, внедрению и поддержке в актуальном состоянии стратегии кибербезопасности.

В настоящем документе представлены предварительные результаты, полученные при работе над руководством. Документ включает в себя краткий анализ текущего состояния стратегий кибербезопасности стран-членов Евросоюза, а также других стран; затем определяются общие черты и различия в стратегиях; и в самом конце приводится ряд выводов и рекомендаций.

2. Развитие стратегий кибербезопасности в странах-членах Евросоюза

Первые стратегии кибербезопасности начали появляться в начале предыдущего десятилетия. Одной из первых стран, которые стала воспринимать кибербезопасности, как вопрос государственной важности были Соединенные Штаты Америки. В 2003 году в США опубликована Национальная стратегия безопасности в киберпространстве7 (National Strategy to Secure Cyberspace). Документ являлся частью более общей Стратегии обеспечения национальной безопасности (National Strategy for Homeland Security), созданной в ответ на террористические атаки 11 сентября 2001 года.

В последующие годы по всей Европе начали распространяться планы мероприятий и стратегии, призванные решить подобную задачу. В 2005 году Германия принимает Государственный план защиты информационной инфраструктуры8 (National Plan for Information Infrastructure Protection – NPSI). В следующем году Швеция разрабатывает Стратегию усиления безопасности Интернета в Швеции (Strategy to improve Internet security in Sweden). Вслед за крупной кибератакой в 2007 году Эстония стала одной из первых стран-членов Евросоюза, опубликовавшей в 20089 году широкую государственную стратегию кибербезопасности. С тех пор в этой сфере на государственном уровне была проделана большая работа, и в последние четыре года десять стран-членов Евросоюза опубликовали свои государственные стратегии кибербезопасности. Краткое описание стратегий приводится ниже.

Некоторые страны, входящие в Евросоюз, в настоящий момент разрабатывают стратегии, которые уже близки к завершению. Кроме того, у нескольких стран-членов есть неофициальные или неформальные стратегии.

  • Эстония (2008): Эстония придает особое значение необходимости защиты киберпространства в целом и ставит в центр внимания безопасность информационных систем. Рекомендуемые меры носят гражданский характер и основываются на правовом регулировании, обучении и сотрудничестве.
  • Финляндия (2008): В основе стратегии лежит понимание кибербезопасности как проблемы экономического характера, тесно связанной с развитием финского информационного общества.
  • Словакия (2008): Обеспечение информационной безопасности рассматривается в качестве необходимого условия нормального функционирования и развития общества. Поэтому цель стратегии – служить прочным фундаментом для защиты информации. Стратегия направлена как на предотвращение угроз, так и на обеспечение готовности и устойчивости средств их предотвращения.
  • Чешская Республика (2011): Ключевые цели стратегии кибербезопасности включают в себя защиту информационно-коммуникационных систем от уязвимостей, которым эти системы подвергнуты, и уменьшение потенциального ущерба от атак на системы. Основной фокус стратегии приходится на проблемы свободного доступа к информационным сервисам, целостности и конфиденциальности данных в киберпространстве Чешской Республики. Стратегия хорошо согласуется с другими нормативно-правовыми документами Чешской Республики.
  • Франция (2011): Франция ориентируется на то, чтобы информационные системы были способны противостоять событиям в киберпространстве, которые могут отрицательно повлиять на доступность, целостность и конфиденциальность информации. Франция делает упор на технические средства защиты информации, борьбу с киберпреступностью и установление киберзащиты.
  • Германия (2011): Стратегия Германии закладывает основу для безопасности критически важных информационных систем. Германия сосредоточена на предотвращении и уголовном преследовании кибератак, а также на предотвращении выхода из строя IT-оборудования, вызванного случайными факторами. В особенности последнее касается критически важных информационных систем. В стратегии анализируется, нужно ли производить дополнительные действия (и если да, то где именно) по защите IT-систем путем предоставления основных функций безопасности, сертифицированных государством, а также поддержкой малого и среднего бизнеса посредством создания новой рабочей группы.
  • Литва (2011): Литва ориентируется на определение целей и мероприятий, направленных на развитие оборота электронной информации, а также обеспечения ее конфиденциальности, доступности и целостности в киберпространстве. Кроме того, стратегия Литвы направлена на защиту персональных данных, телекоммуникационных сетей, информационных систем и критически важных инфраструктур от нарушения безопасности и кибератак. В стратегии также определены мероприятия, реализация которых будет гарантировать полною безопасность работы в киберпространстве.
  • Люксембург (2011): Осознавая уязвимость информационно-коммуникационных технологий, стратегия утверждает, что важнее всего – общественная и экономическая безопасность. В стратегии также отмечается важность информационно-коммуникационных технологий для экономического роста, отдельных граждан и общества в целом. Стратегия работает по пяти направлениям: защита ключевой информационной инфраструктуры и своевременная реакция на инциденты безопасности; модернизация нормативно-правовой базы, государственное и международное сотрудничество; обучение и информирование; продвижение стандартов.
  • Голландия (2011): Голландия, с одной стороны, стремится к безопасным и надежным информационно-коммуникационным системам, опасаясь серьезных нарушений в этих системах, а с другой стороны, признает необходимость свободы и открытости Интернет-пространства. В стратегии дается определение кибербезопасности. “Кибербезопасность –это защищенность от сбоев и неправильной эксплуатации информационно-телекоммуникационных систем. Сбои и неправильная эксплуатация может отрицательно повлиять на доступность и надежность информационно-телекоммуникационных систем, поставить под угрозу конфиденциальность и целостность информации, хранящейся в системах”.
  • Соединенное Королевство (2011): Подход Соединенного Королевства также направлен на развитие кибербезопасности. Цель: вывести Соединенное Королевство на первое место по инновациям, инвестициям и качеству сервисов в сфере информационно-телекоммуникационных технологий, и тем самым, в полной мере воспользоваться всеми преимуществами и достоинствами киберпространства. Необходимо исключить риски типа кибератак преступников, террористов и других государств с целью сделать киберпространство безопасным для граждан и экономики.

3. Стратегии кибербезопасности в странах, не входящих в Евросоюз

Ниже изложены краткие выдержки из стратегий трех стран, не входящих в Евросоюз. Помимо перечисленных, множество других стран также имеют опубликованные стратегии кибербезопасности, например: Индия, Австралия, Новая Зеландия, Колумбия, – и этими странами список далеко не исчерпывается. Тем не менее, список стран показывает, что проблема кибербезопасности признается важной во всем мире.

Соединенные Штаты Америки

США опубликовали Международную Cтратегию для киберпространства в мае 2011 года10. Стратегия описывает ряд мероприятий, которые нужно провести по семи направлениям. В основе стратегии лежит модель сотрудничества между правительством, международными партнерами и частным сектором:

  • Экономика: продвижение международных стандартов и инновационных, открытых рынков.
  • Защита национальных сетей: повышение безопасности, надежности и отказоустойчивости. Правопорядок: расширение сотрудничества и правовых норм.
  • Военная отрасль: подготовка к современным вызовам безопасности.
  • Интернет-правительство: продвижение эффективных и всеохватывающих правительственных структур.
  • Международное развитие: построение безопасности, развитие международной компетенции и экономическое процветание.
  • Свобода в Интернете: поддержка основных свобод и неприкосновенности частной жизни.

Канада

Опубликованная в 201011 году стратегия кибербезопасности держится на трех “столпах”:

  • Защита правительственных систем.
  • Сотрудничество с целью защиты ключевых кибер-систем, находящихся за пределами федерального Правительства.
  • Обеспечение безопасности канадских граждан в онлайн-среде.

Первый “столп” подразумевает установление четких ролей и ответственности, усиление безопасности кибер-систем федерального уровня и повышение информированности правительства в области кибербезопасности.

Второй “столп” – это ряд партнерских проектов государственного уровня с привлечением частного сектора и секторов критических инфраструктур.

И, наконец, третий “столп” – это борьба с киберпреступностью и защита канадских граждан в онлайн-среде. Здесь также затрагивается проблема персональных данных.

Япония

Стратегию кибербезопасности Японии12 (май 2010 года) также можно подразбить на несколько ключевых областей действия:

  • Усиление политик, направленных на борьбу с возможными массовыми кибератаками и учреждение органа, ответственного за предотвращение атак.
  • Введение политик, легко адаптирующихся к изменениям в сфере информационной безопасности.
  • Предпочтение активных политик информационной безопасности пассивным.

Основные мероприятия, описанные в стратегии Японии, включают в себя:

  • Управление IT-рисками для обеспечения безопасной жизни общества.
  • Внедрение политики, которая усилит государственную безопасность, улучшит управление кризисами в киберпространстве, и не будет противоречить политике использования информационно-коммуникационных систем, которая служит основой для социоэкономической деятельности.
  • Введение трехчастной политики, комплексно затрагивающей проблемы национальной безопасности, управление кризисами и защиту общества/личности. В особенности важна политика информационной безопасности общества/личности.
  • Введение политики информационной безопасности, которая не противоречила бы стратегии экономического роста.
  • Развитие международных альянсов.

4. Общие принципы

Как на европейском, так и на международном уровне согласованного определения кибербезопасности нет13. В каждой стране определение кибербезопасности и других ключевых терминов14 может значительно различаться. Как следствие, различаются и подходы к составлению стратегий кибербезопасности. Отсутствие общего “языка” и подхода усложняет процесс международного сотрудничества, когда как важность сотрудничества признается всеми странами.

Как правило, в стратегии кибербезопасности затрагиваются следующие темы:

  • Построение правительственной модели, направленной на обеспечения кибербезопасности.
  • Определение подходящего механизма (в основном общественно-государственного партнерства), позволяющего частным и государственным заинтересованным сторонам обсуждать и утверждать политики, связанные с проблемой кибербезопасности.
  • Планирование и определение необходимых политик и регулирующих механизмов, четкое обозначение ролей, прав и ответственности для частного и государственного сектора (например, новая законодательная база для борьбы с киберпреступностью, обязательное информирование об инцидентах безопасности, базовые меры обеспечения безопасности и руководства к действию, новые нормы материально-технического обеспечения). К примеру, в стратегии Словакии обозначена необходимость создания законодательной базы для защиты киберпространства.15
  • Определение целей и способов развития государственных возможностей и необходимой законодательной базы для вступления в международную борьбу с киберпреступностью. В некоторых стратегиях киберпреступности уделяется особое внимание. Например, Голландия нацелена на расследование и уголовное преследование преступлений в киберпространстве.16 Франция также придерживается этой точки зрения, страна желает усиливать существующее законодательство и развивать международное правовое сотрудничество.17
  • Определение ключевых информационных инфраструктур (critical information infrastructures – CIIs), в том числе основных активов, сервисов и взаимозависимостей.
  • Повышение готовности, уменьшение времени реакции на инциденты, разработка плана восстановления после сбоев и механизмов защиты для ключевых информационных инфраструктур (например, национальный план действий в особой обстановке, порядок поведения в киберпространстве, ситуационная осведомленность). В литовской стратегии утверждается, что “для обеспечения безопасности киберпространства необходимо организовать непрерывно функционирующую и надлежащим образом управляемую систему, контролирующую все стадии управления инцидентами, начиная от раннего предупреждения, предотвращения, обнаружения, устранения, и заканчивая расследованием инцидента.”18 Кроме того, необходимо определить интегрированные организационные структуры, в обязанности которых входит разработка, внедрение и тестирование средств повышения готовности, планов восстановления после сбоев и механизмов защиты. Также возможна интеграция существующих структур, например, национальных/правительственных групп реагирования на чрезвычайные ситуации (CERTs).
  • Разработка системного и интегрированного подхода к государственному управлению рисками (например, доверенный обмен информацией и государственные реестры рисков).
  • Определение и обозначение целей информационных программ, призванных привить пользователям новые модели поведения и модели работы.
  • Доказательство необходимости новой программы образования, делающей упор на обучение IT-специалистов и профессионалов в области кибербезопасности. Необходимы также тренинги, улучшающие навыки пользователей. Например, в стратегии Соединенного Королевства ставится цель улучшить образовательные программы специалистов по информационной безопасности, чтобы построить надежный профессиональный фундамент для обеспечения кибербезопасности.19
  • Международное сотрудничество, как со странами-членами Евросоюза, так и со странами, не входящими в Евросоюз (например, принятие международных соглашений).
  • Проведение комплексного исследования и разработка программы развития, направленной на разрешение проблемы безопасности и отказоустойчивости как существующих, так и будущих систем и сервисов (например, интеллектуальные устройства).

5. Стратегия безопасности Интернета Евросоюза

В настоящий момент единой стратегии кибербезопасности для всего Евросоюза нет. Тем не менее, в программе работы Европейской комиссии на 2012 год20 утверждается, что комиссия разработает Стратегию безопасности Интернета для Евросоюза. Разработку стратегии берет на себя главный директорат DG CONNECT (DG INFSO21). Цели проекта следующие:

  • Наравне с основными рисками и проблемами выявить экономические и геополитические возможности.
  • Сравнить между собой степень подготовленности и политическое внимание к проблеме безопасности Интернета в третьих странах.
  • Обозначить основные и важнейшие проблемы, которые требуют решения.
  • Оценить текущие и планируемые мероприятия, а также отметить те проблемные зоны, к которым Евросоюзу следует уделить больше внимания.22

Стратегия кибербезопасности и стратегия безопасности Интернета – это несколько разные вещи, хотя они имеют много общего, например, определение и предложение подходящей правительственной модели, нацеленность на предотвращение и борьбу с инцидентами безопасности.

В целом же задача главного директората DG CONNECT – правильно разместить существующие и планируемые мероприятия в глобальном политическом контексте. Директорат также подготовит программу дальнейших действий, заглядывая вперед, чтобы предложить Евросоюзу комплексный, целостный и структурированный подход к проблеме безопасности Интернета.23 Для реализации проекта компетенции одного только директората DG CONNECT будет недостаточно, именно поэтому вице-президент Европейской комиссии Нили Кроес (Neelie Kroes) подтвердила, что работа по проекту ведется в тесном сотрудничестве с комиссаром по внутренним делам Сесилией Мальмстрём (Cecilia Malmström) и Верховным Представителем по иностранным делам и политике безопасности Кэтрин Эштон (Catherine Ashton).24

Необходимость в предложении и достижении комплексного и скоординированного подхода подчеркивалась уже не один раз: об этом говорилось в документе ENISA 2011 года “Кибербезопасность: будущие вызовы и возможности”25 , а также в докладе Палаты Лордов на совете по стратегии внутренней безопасности Евросоюза.26

6. Выводы и рекомендации

В среде, где постоянно появляются и эволюционируют кибер-угрозы, страны-члены Евросоюза при встрече с новыми, глобальными угрозами получат большую выгоду от гибких, оперативных стратегий кибербезопасности. Трансграничный характер угроз вынуждает страны вступать в тесное международное взаимодействие. Сотрудничество на пан-европейском уровне необходимо не только для эффективной подготовки к кибератакам, но и для своевременной реакции на них. Комплексная государственная стратегия кибербезопасности – первый шаг на этом пути.

Для стран-членов Евросоюза рекомендуется следующее:

В краткосрочном периоде:

  • Спроектировать, переоценить и поддерживать государственную стратегию кибербезопасности, а также мероприятия, проводимые в рамках стратегии.
  • Четко определить рамки действия, цели стратегии и само толкование термина “кибербезопасность”.
  • Убедиться, что предложения и заявления министерств, регулятивных органов и других государственных органов приняты во внимание и рассматриваются.
  • Учесть в стратегии интересы промышленности, научного сообщества и гражданских представителей.
  • Сотрудничать с другими странами, входящими в Евросоюз, а также с комиссией Евросоюза, чтобы гарантировать согласованный характер кибербезопасности.
  • Признать, что непрекращающееся развитие киберпространства и кибербезопасности отразится в постоянном редактировании и пересмотре стратегии.
  • Осознать, что предыдущий пункт подразумевает не только появление новых угроз и рисков, но и появление новых возможностей улучшения информационных систем для правительства, промышленности и общества.
  • Убедиться, что в стратегии принимается во внимание уже проделанная работа по повышению уровня безопасности национальных и пан-европейских информационных систем. Необходимо избегать дублирования мероприятий и сфокусироваться на новых проблемах.
  • Поддержать комиссию Евросоюза в деле создания Стратегии безопасности Интернета.

В долгосрочном периоде:

  • Договориться об общепринятом толковании термина “кибербезопасность” для того, чтобы в дальнейшем сформулировать общие цели для всего Евросоюза.
  • Убедиться, что стратегии кибербезопасности Евросоюза и его членов не противоречат целям международного сообщества, а поддерживают борьбу с проблемами кибербезопасности на глобальном уровне.

Для реализации стратегий кибербезопасности частный и государственный сектора должны работать в тесном сотрудничестве. Сотрудничество должно осуществляться посредством обмена информацией, передовыми практиками (например, в сфере управления инцидентами), а также учениями на государственном и пан-европейском уровне.

Для содействия комиссии и странам-членам Евросоюза в нелегкой миссии по созданию стратегии ENISA разрабатывает специальное руководство (Good Practices Guide). В руководстве будут содержаться передовые практики и рекомендации по проектированию, внедрению и поддержке государственной стратегии кибербезопасности. Руководство будет полезным инструментом и практическим советом для людей, ответственных или вовлеченных в проектирование стратегии. Руководство разрабатывается в содействии с частными и государственными заинтересованными сторонами со всей Европы. В разработке руководства также принимают участие некоторые международные стороны, которые проводят среднесрочный анализ рекомендаций ENISA.

1 Немецкая стратегия, стр. 1

2 Например: COM/2005/0229 final “i2010 – A European Information Society for growth and deployment”; COM(2006) 251 “A Strategy for a Secure Information Society”; COM(2010) 245 final/2 “A Digital Agenda for Europe”; COM(2009) 149 on Critical Information Infrastructure Protection

3 DIRECTIVE 2009/140/EC

4COM(2011) 163 final “Achievements and next steps: toward global cyber-security”

5 Способность сети предоставлять и поддерживать приемлемый уровень сервиса во время отклонений от штатного режима работы, ‘Обзор стран-членов Евросоюза’ нормативные документы, связанные с надежностью работы телекоммуникационных сетей общего доступа, ENISA, 2008

6 http://www.enisa.europa.eu/activities/Resilience-and-CIIP/national-cyber-security-strategies-ncsss

7 http://www.dhs.gov/files/publications/editorial_0329.shtm

8 http://www.bmi.bund.de/cae/servlet/contentblob/560098/publicationFile/27811/kritis_3_eng.pdf

9 Ссылки на стратегии кибербезопасности стран-членов Евросоюза можно найти в приложении

10 http://www.whitehouse.gov/sites/default/files/rss_viewer/international_strategy_for_cyberspace.pdf

11 http://publications.gc.ca/site/eng/379746/publication.html

12 http://www.nisc.go.jp/eng/

13 H. Luiijf, K. Besseling, M. Spoelstra, P. de Graaf, Ten National Cyber Security Strategies: a comparison, CRITIS 2011 – 6th International Conference on Critical information infrastructures Security, September 2011.

14 Определение киберпространства, киберпреступности и стратегии кибербезопасности также различается в разных странах.

15 Стратегия Словакии, стр.10

16 Голландская стратегия, стр.12

17 Французская стратегия, стр. 8

18 Стратегия Литвы, стр. 4

19 Стратегия Соединенного Королевства, стр. 29

20 COM(2011) 777 final VOL.1/2 http://ec.europa.eu/atwork/programmes/docs/cwp2012_en.pdf

21 C 1ого июля 2012 года DG INFSO переименовано в DG CONNECT

22 COM(2011) 777 final VOL.2/2 http://ec.europa.eu/atwork/programmes/docs/cwp2012_annex_en.pdf

23 ROADMAP:Proposal on a European Strategy for Internet Security http://ec.europa.eu/governance/impact/planned_ia/docs/2012_infso_003_european_internet_security_strategy_en.pdf

24SPEECH/12/204 http://europa.eu/rapid/pressReleasesAction.do?reference=SPEECH/12/204

25 http://www.enisa.europa.eu/publications/position-papers/cyber-security-future-challenges-and-opportunities

26http://www.publications.parliament.uk/pa/ld201012/ldselect/ldeucom/149/149.pdf

Приложение – Ссылки на стратегии кибербезопасности стран-членов Евросоюза

Германия: http://www.enisa.europa.eu/media/news-items/german-cyber-security-strategy-2011-1

Голландия: http://www.enisa.europa.eu/media/news-items/dutch-cyber-security-strategy-2011

Литва: http://www.ird.lt/doc/teises_aktai_en/EIS(KS)PP_796_2011-06-29_EN_PATAIS.pdf

Люксембург: http://www.gouvernement.lu/salle_presse/actualite/2011/11-novembre/23-biltgen/dossier.pdf (на французском)

Словакия: недоступна онлайн

Соединенное Королевство: http://www.official-documents.gov.uk/document/cm76/7642/7642.pdf

Финляндия: http://www.lvm.fi/c/document_library/get_file?folderId=57092&name=DLFE-5405.pdf&title=Valtioneuvoston%20periaatep%C3%A4%C3%A4t%C3%B6s%20kansalliseksi%20tietoturvastrategiaksi%20%28su/ru/eng%20LVM62/2008%29

Франция: http://www.enisa.europa.eu/media/news-items/french-cyber-security-strategy-2011

Чешская Республика: http://www.enisa.europa.eu/media/news-items/CZ_Cyber_Security_Strategy_20112015.PDF

Эстония: http://www.kmin.ee/files/kmin/img/files/Kuberjulgeoleku_strateegia_2008-2013_ENG.pdf


Возврат к списку